王鳳嬌， 徐然， 魏軍

(中國信息安全認(rèn)證中心，北京100020)

ISMS與BCM體系融合實(shí)現(xiàn)方法的初探?

王鳳嬌， 徐然， 魏軍

(中國信息安全認(rèn)證中心，北京100020)

近年來,隨著各行業(yè)對信息技術(shù)依賴程度的不斷提高、網(wǎng)絡(luò)安全威脅的日益加劇以及各類突發(fā)事件的頻發(fā),信息資產(chǎn)的安全和業(yè)務(wù)的連續(xù)性成為社會各界關(guān)注的焦點(diǎn),很多組織已經(jīng)建立或即將建立信息安全管理體系(ISMS)和業(yè)務(wù)連續(xù)性管理體系(BCMS),必將面臨兩個管理體系(甚至包括ISO 9001等多個管理體系)并存的問題,如何有效利用組織資源,實(shí)現(xiàn)利益最大化是一個值得關(guān)注的問題。本文在對ISMS和BCMS進(jìn)行比較分析的基礎(chǔ)上,提出了一種實(shí)現(xiàn)ISMS與BCMS融合的思路。

業(yè)務(wù)連續(xù)性管理;信息安全管理;風(fēng)險評估;業(yè)務(wù)影響分析;業(yè)務(wù)連續(xù)性計(jì)劃

0 引言

為了提高組織的管理能力和適應(yīng)國際化發(fā)展的需要,近年來,ISO 9001(質(zhì)量管理體系)、ISO 14000(環(huán)境管理體系)、ISO 27001(信息安全管理體系)以及新發(fā)布的ISO22301(業(yè)務(wù)連續(xù)性管理體系)等國際管理體系標(biāo)準(zhǔn)在各行業(yè)得到廣泛的普及和推廣。目前,一個組織同時獨(dú)立運(yùn)行幾個管理體系的現(xiàn)象非常普遍,由此也帶來了一些問題,如:各個管理體系由不同的管理部門負(fù)責(zé),缺乏聯(lián)系溝通和統(tǒng)一管理;幾套體系文件并行造成文件多且復(fù)雜,同一工作可能有不同的標(biāo)準(zhǔn)和制度要求;不同管理體系的定期內(nèi)審、管理評審、整改等工作重復(fù)性較高,單獨(dú)開展給基層工作人員帶來了很大負(fù)擔(dān)等等。基于這些問題,如何有效的利用組織的現(xiàn)有資源,將若干個管理體系進(jìn)行融合,減少重復(fù)性工作,形成優(yōu)勢互補(bǔ),實(shí)現(xiàn)以低成本、高效率運(yùn)行管理體系的方式促進(jìn)組織整體管理水平的提高,從而實(shí)現(xiàn)利益最大化值得深入研究和思考。

鑒于信息安全管理與業(yè)務(wù)聯(lián)系性管理密切相關(guān),以及新版ISO27001(2013)標(biāo)準(zhǔn)和ISO 22301標(biāo)準(zhǔn)在結(jié)構(gòu)(都采用了導(dǎo)則83要求)和流程安排上的一致性,本文擬在分析信息安全管理體系和業(yè)務(wù)連續(xù)性管理體系關(guān)系的基礎(chǔ)上,探討兩個體系融合的可行性,并提出一種實(shí)現(xiàn)融合的思路。

1 ISMS和BCMS簡介

1.1 ISMS及其標(biāo)準(zhǔn)ISO27001

隨著全球網(wǎng)絡(luò)信息安全環(huán)境的日益惡化,保護(hù)信息資產(chǎn)免受各種威脅的損害,從而確保業(yè)務(wù)連續(xù)性,降低業(yè)務(wù)風(fēng)險,使投資回報和商業(yè)機(jī)遇最大化是組織追求的信息安全目標(biāo)。要達(dá)成信息安全目標(biāo),必須采用系統(tǒng)的控制方法,建立程序化、制度化、長效化的信息安全管理體系。ISO 27001標(biāo)準(zhǔn)提供了這樣一套系統(tǒng)的信息安全管理方法,為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系提供了一個框架模型。ISO27001通過這些控制措施實(shí)現(xiàn)對信息的機(jī)密性、完整性和可用性的全面保障,是國際上應(yīng)用最廣泛的信息安全管理標(biāo)準(zhǔn)。2013年,ISO組織(國際標(biāo)準(zhǔn)化組織)對該標(biāo)準(zhǔn)進(jìn)行了改版,正式頒布了新版ISO 27001:2013。在新版當(dāng)中采用ISO導(dǎo)則83做結(jié)構(gòu)性要求,并明確了以組織業(yè)務(wù)關(guān)系為主體,重視與業(yè)務(wù)和全面風(fēng)險管理的融合。

1.2 BCMS及其標(biāo)準(zhǔn)ISO 22301

一個組織在其關(guān)鍵業(yè)務(wù)發(fā)生中斷及中斷后能恢復(fù)正常功能的能力和速度,已經(jīng)成為當(dāng)前商業(yè)生態(tài)環(huán)境下組織成功和失敗差異的重要標(biāo)志。因此,業(yè)務(wù)連續(xù)性管理作為組織應(yīng)對突發(fā)事件,保障其業(yè)務(wù)連續(xù)的有效方法,在國際上被越來越多的組織采用。2012年,國際標(biāo)準(zhǔn)化組織 ISO發(fā)布了 ISO22301:2012《公共安全—業(yè)務(wù)連續(xù)性管理體系－要求》標(biāo)準(zhǔn)。ISO 22301致力于使公共或私有部門的組織更具有適應(yīng)性,它將業(yè)務(wù)連續(xù)性管理相關(guān)的知識、工具和方法形成了一套完整的體系,并形成了識別對組織的潛在威脅,以及這些威脅一旦發(fā)生可能對業(yè)務(wù)運(yùn)行帶來的影響的一整套管理過程。其管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計(jì)劃,使企業(yè)對潛在的災(zāi)難加以辨別分析,幫助其確定可能發(fā)生的沖擊對企業(yè)的運(yùn)作造成的威脅,并提供一個有效的管理機(jī)制來阻止或抵消這些威脅,減少災(zāi)難事件給企業(yè)帶來的損失。中國信息安全認(rèn)證中心與中國標(biāo)準(zhǔn)化研究院已于2013年將此標(biāo)準(zhǔn)轉(zhuǎn)化為國家標(biāo)準(zhǔn),并于2014年5月正式實(shí)施。

2 ISMS與BCMS對比分析

2.1 ISMS和BCMS側(cè)重點(diǎn)差異分析

信息安全管理體系(ISMS)是組織整個管理體系的一部分,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用方法的體系。ISMS強(qiáng)調(diào)的是基于業(yè)務(wù)風(fēng)險的方法來組織各項(xiàng)信息安全活動,因此,風(fēng)險管理是ISMS體系建設(shè)的基礎(chǔ)和關(guān)鍵,包括風(fēng)險評估和風(fēng)險控制。通過風(fēng)險評估,對可能影響組織資產(chǎn)的風(fēng)險進(jìn)行識別、分析和評估,并依據(jù)評估結(jié)果采用合適的技術(shù)和管理手段,防范和控制組織的風(fēng)險,側(cè)重預(yù)防。

業(yè)務(wù)連續(xù)性管理體系(BCMS)建設(shè)的目標(biāo)不僅要使業(yè)務(wù)功能在災(zāi)難后能得到全面恢復(fù),還要確保關(guān)鍵業(yè)務(wù)功能在中斷或?yàn)?zāi)難事件中,能夠迅速地恢復(fù)連續(xù)運(yùn)行,強(qiáng)調(diào)的是建立一個明確的時間響應(yīng)架構(gòu),側(cè)重糾正。BCMS涵蓋組織業(yè)務(wù)經(jīng)營、運(yùn)營支持及后勤保障等所有的業(yè)務(wù)板塊,覆蓋事前、事中、事后等全程管理。通過對各個業(yè)務(wù)流程潛在危機(jī)及影響的分析,制定相應(yīng)的應(yīng)對流程及管理框架,并進(jìn)行持續(xù)的管理是BCMS的關(guān)鍵和核心方法。

2.2 ISMS和BCMS共性關(guān)系分析

盡管兩個管理體系有各自的側(cè)重點(diǎn),但最重要的是它們有著共同的目標(biāo),即降低組織運(yùn)營的風(fēng)險,因此從某種意義上說兩者都屬于風(fēng)險管理的范疇。雖然一般我們不稱業(yè)務(wù)連續(xù)性管理的日常為風(fēng)險管理,但實(shí)際上業(yè)務(wù)連續(xù)性管理所做的識別潛在的問題并采取適當(dāng)?shù)目刂拼胧﹣斫档瓦@些風(fēng)險正是風(fēng)險管理的工作。另一方面,保證信息的可用性是業(yè)務(wù)連續(xù)性管理的一個重要目標(biāo),而這也是信息安全管理的目標(biāo)之一。根據(jù)上述分析,ISMS與BCMS的關(guān)系可以通過下圖來體現(xiàn):

圖1 ISMS與BCMS關(guān)系圖

3 實(shí)現(xiàn)ISMS與BCMS融合的思路

3.1 可行性分析

盡管各類管理體系的側(cè)重點(diǎn)不同,但是它們都強(qiáng)調(diào)規(guī)范企業(yè)和組織的行為,使組織的運(yùn)行產(chǎn)生最大的效益和更高的效率。通過對ISO 27001(2013版)和ISO 22301標(biāo)準(zhǔn)的共同要素進(jìn)行梳理,在實(shí)施過程中進(jìn)行同步和融合,可以最大限度地利用組織現(xiàn)有的資源,提高整體的績效。

首先,ISO 27001(2013版)和ISO 22301標(biāo)準(zhǔn)均采用了導(dǎo)則83的結(jié)構(gòu)性要求,在結(jié)構(gòu)和流程安排上保持了一致,便于在實(shí)施過程中對工作流程的安排進(jìn)行同步和融合。

其次,ISO 27001(2013)標(biāo)準(zhǔn)明確了以組織業(yè)務(wù)關(guān)系為主體,摒棄了原來識別資產(chǎn)、資產(chǎn)威脅與脆弱性的方法論,肯定了管理層面以業(yè)務(wù)價值為基礎(chǔ),識別信息、確定信息的價值,這為與以業(yè)務(wù)流程為基礎(chǔ)的ISO 22301管理標(biāo)準(zhǔn)相融合提供了極大便利。

再次,通過比較兩個標(biāo)準(zhǔn)的要求,它們在文件和記錄控制、人力資源管理、內(nèi)審、管理評審、糾正措施、設(shè)立可測量的目標(biāo)和準(zhǔn)則等方面高度一致。

特別是風(fēng)險評估和事件管理兩項(xiàng)工作更是可以說是重疊的部分,只不過在業(yè)務(wù)連續(xù)性管理體系中風(fēng)險評估和業(yè)務(wù)影響分析一同作為制定業(yè)務(wù)聯(lián)系性計(jì)劃的基礎(chǔ)和依據(jù)。

此外,ISO 27001標(biāo)準(zhǔn)附錄A17中提出了業(yè)務(wù)連續(xù)性管理的要求,但是沒有具體的方法和指導(dǎo)。ISO 22301作為國際公認(rèn)的業(yè)務(wù)連續(xù)性管理最佳實(shí)踐基準(zhǔn),為如何實(shí)施業(yè)務(wù)連續(xù)性管理提供了具體的要求和方法指導(dǎo)。

3.2 一種實(shí)現(xiàn)融合的思路

通過對ISMS和BCMS關(guān)系的分析及對共同要素的梳理,本文對兩個管理體系的融合和同步實(shí)施提出如下思路和建議:

1)在實(shí)施過程中,將BCMS建設(shè)作為ISMS建設(shè)的子項(xiàng)目,指定BCMS協(xié)調(diào)代表,建立BCMS實(shí)施項(xiàng)目小組。對于BCMS的關(guān)鍵和核心要素按照ISO22301標(biāo)準(zhǔn)的要求安排部署,其它的方面采用ISO 27001標(biāo)準(zhǔn)的要求。

2)通過獲得最高管理者的支持,建立共用的組織架構(gòu)。包括設(shè)定管理者代表,指定專業(yè)技術(shù)骨干,確定內(nèi)部審核人員。ISO 22301標(biāo)準(zhǔn)在支撐中強(qiáng)調(diào)了“能力”的概念,因此,BCMS實(shí)施小組的人員必須是具有相應(yīng)知識、技能和經(jīng)驗(yàn)的人員,承擔(dān)BCMS的實(shí)施和管理工作并當(dāng)事故發(fā)生時作出應(yīng)對。

3)對體系文件進(jìn)行融合和同步建立。對于文件和記錄控制、人力資源管理、內(nèi)審、管理評審、糾正措施、設(shè)立可測量的目標(biāo)和準(zhǔn)則、風(fēng)險評估、事件管理等一致性較高的文件進(jìn)行融合,在管理要求上達(dá)到同步甚至統(tǒng)一,減少不必要的重復(fù)。

4)實(shí)施和維護(hù)過程協(xié)同推進(jìn)。兩個管理體系的實(shí)施和管理維護(hù)都遵循PDCA的過程。因此,對于日常的內(nèi)審、管理評審、持續(xù)改進(jìn)等一致性較高的工作和環(huán)節(jié)同步進(jìn)行,以便減少基層工作人員負(fù)擔(dān),節(jié)約資源、提高效率。

4 結(jié)語

本文在對ISMS和BCMS關(guān)系的分析及對相應(yīng)標(biāo)準(zhǔn)對比的基礎(chǔ)上,提出了兩個體系融合實(shí)施的思路建議并分析了融合實(shí)施給組織帶來的好處。

通過對兩個體系共同和相似要素的融合和同步實(shí)施,一是在組織內(nèi)部最大限度的實(shí)現(xiàn)了“管理統(tǒng)一、制度統(tǒng)一、過程統(tǒng)一”,減少不必要的重復(fù),從而優(yōu)化組織資源利用、提高績效;二是實(shí)現(xiàn)優(yōu)勢互補(bǔ),促進(jìn)ISMS和BCMS兩個體系更好的發(fā)揮其作用。

此外,如果從體系管理的組織機(jī)構(gòu)建設(shè)和認(rèn)證的角度出發(fā),本文提出的融合思路更是可以減少單獨(dú)實(shí)施兩個體系的大量工作。

[1] GB/T 22080－2008/ISO/IEC 27001:2005《信息技術(shù) 安全技術(shù)信息安全管理體系要求》[S].北京:中國質(zhì)檢出版社,2005.

[2] GB/T30146－2013/ISO 22301:2012公共安全 業(yè)務(wù)連續(xù)性管理體系要求[S].北京:中國質(zhì)檢出版社,2013.

[3] DEJANKosutic.ISO 27001＆ISO 22301:Why is it better to implement themtogether?[EB/OL].USA:27001Academy,2014[2014－07－21].www.iso27001standard.com.

Discuss on Integration of ISMS and BCM System

WANG Feng－jiao,XU Ran,WEI Jun
(China Information Security Certification Center,Beijing 100020,China)

In recent years,with the growing reliance of various trades on information technology,the threat against network security becomes increasingly serious and the safety accident happens more frequently,and thus the security of information assets and the continuity of business become the focus of the concern.Many organizations have established or is going to establish their information security management systems and business continuity management systems,thus they would face the co－existence of two management systems(or even including ISO 9001 and other management systems).For this reason,how to make full use of resource and how to achieve maximum benefits for organizations becomes a problem worthy of concern.

business continuity management;information security management;risk assessment;business continuity plan

TP 309

A

1009－8054(2015)01－0109－03

2014－07－25

國家質(zhì)檢總局科技計(jì)劃項(xiàng)目(No.2013IK132)

王鳳嬌(1982—),女,博士,工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)安全與認(rèn)證;

徐 然(1982—),男,碩士,工程師,主要研究方向?yàn)樾畔踩J(rèn)證;

魏 軍(1971—),男,博士,高級工程師,主要研究方向?yàn)樾畔踩J(rèn)證認(rèn)可?！?/p>